IT統制の観点から見た特権ID管理

情報システムを介して、企業内あるいは企業間の活動が行われる今日、IT統制抜きに内部統制を行うことは不可能です。その中でも、アクセスコントロール、特にすべての権限を有する特権IDのアクセスコントロールは、重要視されています。
適切な特権IDの管理なくしては、財務報告書等の信憑性が問われ、企業の信頼性が失われかねません。

情報保護の観点から見た特権ID管理

サーバ、ネットワークデバイス、アプリケーション等の、システム上のすべてのデータへのアクセス権を有する特権IDが不正に利用されたとすると、システム上のすべてのデータが危険にさらされることになります。
情報資産を漏えい、改ざん、盗難の危険から守るためには、特権IDのアクセスを適切に管理することが重要です。万が一のインシデント発生に迅速に対応するために、特権IDの操作記録の取得も考慮する必要があります。

監査の観点から見た特権ID管理

OSやネットワークデバイス等の多くのシステムには、特権IDがデフォルトで準備されており、このデフォルトIDを複数の管理者で共有し、運用しているケースがあります。各システムのログからでは、特権IDを利用した管理者の特定が難しいため、内部統制等の監査の指摘事項となっています。
特権IDの利用者の正確な識別、利用申請との組み合わせによる利用状況の把握が重要です。